Ordre national
des pharmaciens

Imprimer

Quelles obligations pour les laboratoires de biologie médicale ?

 

  • Quels sont les traitements concernés par la protection des données personnelles ?

Le RGPD s’applique à tous les traitements de données personnelles, quel que soit le support papier ou informatique (logiciel, fichier Excel…) et qu’ils concernent les patients du laboratoire de biologie médicale, les salariés, les professionnels de santé avec qui le laboratoire de biologie médicale est en contact…

  • Le RGPD impacte-t-il les relations avec les sous-traitants ?

Tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation, sont considérés comme des sous-traitants au sens du RGPD. Par exemple : lorsqu’il est fait appel à une société tierce pour gérer la comptabilité et la paie du personnel du laboratoire de biologie médicale, si des données patients sont hébergées chez un hébergeur, ou s’il est fait appel à un éditeur de logiciel pour la gestion de l’application métier dont le rôle ne se limite pas à la conception, au développement et à la commercialisation du logiciel et que celle-ci accède à certaines données, les héberge et/ou les intègre dans le système informatique du laboratoire. 

A cet égard, le RGPD impose aux sous-traitants de nouvelles obligations et responsabilités vis-à-vis des responsables de traitement (obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité, obligation de conseil dans la mise en œuvre par exemple des études d’impact sur la vie privée, la notification de violation de données, la contribution aux audits …).

Attention  : S’il est fait appel à un organisme extérieur pour l’hébergement des données de santé que le laboratoire de biologie médicale traite, celui-ci doit être certifié hébergeur de données de santé au titre de l’article L1111-8 du code de la santé publique. Le champ d’application de l’hébergement couvre toutes les données de santé gérées par le laboratoire de biologie médicale, qu’il s’agisse des phases pré-analytique, analytique ou post-analytique.

  • Un DPO doit-il être désigné ?

Au regard des critères posés par le RGPD (voir la page "les apports du RGPD " de cette lettre d’information), seules les entités qui exercent leurs activités à grande échelle, tels que par exemple des laboratoires de biologie médicale de taille importante qui gèrent un fichier de plusieurs milliers de patients, doivent désigner un DPO.

Attention :

  • Le DPO doit posséder des connaissances spécialisées en matière de protection des données.
  • Le DPO, qui doit être indépendant, ne peut pas être le responsable du laboratoire de biologie médicale.
  • Un laboratoire de biologie médicale doit-il tenir un registre ? 

Oui, un registre des activités de traitement doit être mis en place car les applications gérées par les laboratoires de biologie médicale ne sont pas occasionnelles et comprennent des catégories particulières de données (par exemple des données de santé). Pour plus de précisions, se référer à la page "les apports du RGPD " de cette lettre d’information.

  • Que devient la norme simplifiée n°53 relative à la gestion informatisée d’un laboratoire de biologie médicale ?

Depuis le 25 mai 2018, date d’entrée en application du RGPD, les formalités auprès de la CNIL sont supprimées pour la plupart des traitements de données personnelles. Il n’y a donc plus d’engagement de conformité à effectuer auprès de la CNIL à la norme 53. 

Toutefois, un laboratoire de biologie médicale doit être à tout moment en mesure de démontrer la conformité de ses applications aux principes de protection des données. Pour ce faire, il doit continuer à se référer aux conditions de la norme simplifiée 53 qui devrait être transformée en référentiel par la CNIL.

  • Une étude d’impact doit-elle être réalisée ?

L’étude d’impact consiste en un examen plus approfondi du contexte juridique et de sécurité du traitement et doit donner lieu à une analyse de risques au regard des principes de protection des données. Pour plus de précisions, voir la page "les apports du RGPD " de cette lettre d’information. Les traitements qui relevaient de normes simplifiées de la CNIL étaient considérés comme ne portant manifestement pas atteinte aux droits et libertés individuels dès lors qu’on en respectait les exigences. Il n’y a donc aujourd’hui a priori pas d’étude d’impact à réaliser pour un laboratoire de biologie médicale traitant de données qui relevaient de la norme simplifiée 53, à l’exception des laboratoires exerçant leurs activités à grande échelle et gérant ainsi un volume très important de données de santé pour lesquels une étude d’impact sera nécessaire.

  • Quelles sont les mesures de sécurité qu’un laboratoire de biologie médicale doit mettre en place pour protéger les données personnelles qu’il traite ?

Les laboratoires de biologie médicale, du fait de leurs activités et de leurs structures, sont amenés à traiter et à transférer un flux important de données à caractère personnel, en ce compris des données sensibles de santé des patients.

A ce titre, les laboratoires de biologie médicale doivent mettre en place l’ensemble des mesures de sécurité nécessaires à la protection de leurs flux de données, et notamment :

  • En plus des mesures énoncées à la norme 53 et auxquelles le laboratoire de biologie médicale doit toujours se référer (utilisation de la carte CPS, mot de passe personnel, système de chiffrement fort des transmissions, messagerie sécurisée, traçabilité des accès…), le RGPD est venu renforcer les obligations de sécurité. Pour plus de précisions, voir le guide de la CNIL  sur la sécurité des données personnelles.
  • L’activité de biologiste, dans sa diversité d’exercice, doit également prendre en compte des référentiels de sécurité et d’interopérabilité dont le respect est dorénavant rendu obligatoire par le code de la santé publique (L1110-4-1 du code de la santé publique ) : le recours à des procédés d’identification et d’authentification forts, le recours à des hébergeurs certifiés par exemple.
  • Qui contacter pour toutes questions ?

Pour toute question concernant l’exercice de vos droits sur les données vous concernant détenues par l’Ordre, vous pouvez contacter le DPO du CNOP à l’adresse suivante : dpo@ordre.pharmacien.fr ou par téléphone au numéro suivant 01.81.69.47.43. Pour toute autre question, vous pouvez également contacter la CNIL par téléphone au 01. 53. 73. 22. 22 (du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h).

Date de mise à jour : 24/01/2019